Tudnivalók a bejelentkezési naplótevékenység részleteiről

A Microsoft Entra megfelelőségi célból naplózza az összes bejelentkezést egy Azure-bérlőbe. Rendszergazdaként tudnia kell, mit jelentenek a bejelentkezési naplók értékei, hogy megfelelően értelmezhesse a naplóértékeket.

• Ismerje meg a bejelentkezési naplókat.
• A bejelentkezési naplók testreszabása és szűrése

Ez a cikk a bejelentkezési napló Alapszintű információ lapján található értékeket ismerteti.

Alapszintű információk

Az Alapszintű információ lap a táblázatban is megjelenő adatok többségét tartalmazza. A bejelentkezési diagnosztikát az Alapszintű információk lapon indíthatja el. További információ: A bejelentkezési diagnosztika használata.

Bejelentkezési hibakódok

Ha a bejelentkezés sikertelen volt, a kapcsolódó naplóelem Alapszintű információ lapján további információt kaphat az okról. A hibakód és a kapcsolódó hiba oka megjelenik a részletekben. További információ: Bejelentkezési hibák elhárítása.

Hely és eszköz

A Hely és eszköz információ lapjai a felhasználó helyével és IP-címével kapcsolatos általános információkat jelenítik meg. Az Eszközadatok lapon a bejelentkezéshez használt böngésző és operációs rendszer adatai találhatók. Ez a lap azt is ismerteti, hogy az eszköz megfelel-e a megfelelő, felügyelt vagy a Microsoft Entra hibrid csatlakoztatásának.

Hitelesítési részletek

A bejelentkezési napló részleteinek Hitelesítés részletei lapján az alábbi információk találhatók minden hitelesítési kísérlethez:

• Az alkalmazott hitelesítési szabályzatok listája, például a feltételes hozzáférés vagy a biztonsági alapértelmezett beállítások.
• A bejelentkezéshez használt hitelesítési módszerek sorozata.
• Ha a hitelesítési kísérlet sikeres volt, és ennek oka.

Ez az információ lehetővé teszi a felhasználói bejelentkezés minden lépésének hibaelhárítását. Kövesse nyomon ezeket a részleteket:

• Az MFA által védett bejelentkezések mennyisége.
• Az egyes hitelesítési módszerek használati és sikerességi arányai.
• Jelszó nélküli hitelesítési módszerek használata, például jelszó nélküli Telefon bejelentkezés, FIDO2 és Vállalati Windows Hello.
• Milyen gyakran teljesítik a hitelesítési követelményeket a jogkivonat-jogcímek, például amikor a rendszer nem kéri a felhasználókat arra, hogy adjanak meg jelszót, vagy adjanak meg egy SMS OTP-t.

A hitelesítési adatok elemzésekor jegyezze fel a következő részleteket:

• Az OATH ellenőrzési kód a hitelesítési módszerként van naplózva mind az OATH hardveres, mind a szoftveres jogkivonatokhoz (például a Microsoft Authenticator alkalmazáshoz).
• A Hitelesítés részletei lap kezdetben hiányos vagy pontatlan adatokat jeleníthet meg, amíg a naplóadatok teljes mértékben össze nem lesznek összesítve. Ismert példák:
  • A jogkivonat üzenetében a jogcímek által kielégített üzenet helytelenül jelenik meg a bejelentkezési események kezdeti naplózásakor.
  • Az elsődleges hitelesítési sor kezdetben nem lesz naplózva.
• Ha nem biztos a naplók részleteiben, gyűjtse össze a kérésazonosítót és a korrelációs azonosítót a további elemzéshez vagy hibaelhárításhoz.
• Ha a hitelesítési vagy munkamenet-élettartam feltételes hozzáférési szabályzatait alkalmazza, azok a bejelentkezési kísérletek fölött jelennek meg. Ha ezek közül egyik sem jelenik meg, ezek a szabályzatok jelenleg nem lesznek alkalmazva. További információ: Feltételes hozzáférés munkamenet-vezérlői.

Egyedi azonosítók

A Microsoft Entra-azonosítóban az erőforrás-hozzáférés három fontos összetevővel rendelkezik:

• Ki: A bejelentkezést végző identitás (felhasználó).
• Hogyan: A hozzáféréshez használt ügyfél (alkalmazás).
• Mi a teendő: Az identitás által elért cél (erőforrás).

Minden összetevőhöz társított egyedi azonosító (ID) tartozik:

• Hitelesítési követelmény: A bejelentkezés sikerességéhez szükséges legmagasabb szintű hitelesítést jeleníti meg a bejelentkezéshez szükséges összes bejelentkezési lépéssel.

  • A Graph API támogatja $filter (eq és startsWith csak operátorok).

• Feltételes hozzáférés kiértékelése: Azt mutatja, hogy a bejelentkezési eseményre alkalmazták-e a folyamatos hozzáférés-kiértékelést (CAE).

  • Minden hitelesítéshez több bejelentkezési kérés is tartozik, amelyek az interaktív vagy nem interaktív lapon is megjelenhetnek.
  • A CAE csak az egyik kérés esetében jelenik meg igazként, és az interaktív vagy nem interaktív lapon is megjelenhet.
  • További információ: Bejelentkezések monitorozása és hibaelhárítása folyamatos hozzáférés-kiértékeléssel a Microsoft Entra ID-ban.

• Korrelációs azonosító: A korrelációs azonosító ugyanabból a bejelentkezési munkamenetből származó bejelentkezéseket csoportosítja. Az érték az ügyfél által átadott paramétereken alapul, ezért előfordulhat, hogy a Microsoft Entra ID nem tudja garantálni a pontosságát.

• Bérlők közötti hozzáférés típusa: Az erőforrás eléréséhez használt bérlőközi hozzáférés típusát ismerteti. A lehetséges értékek a következők:

  • none - Olyan bejelentkezési esemény, amely nem lépte át a Microsoft Entra-bérlő határait.
  • b2bCollaboration– Bérlőközi bejelentkezés, amelyet egy vendégfelhasználó a B2B-együttműködés használ.
  • b2bDirectConnect - B2B által végzett bérlőközi bejelentkezés.
  • microsoftSupport– Bérlők közötti bejelentkezés, amelyet egy Microsoft-támogatási ügynök végez egy Microsoft-ügyfélbérlében.
  • serviceProvider - Bérlők közötti bejelentkezés, amelyet egy felhőszolgáltató (CSP) vagy hasonló rendszergazda hajt végre az adott CSP-ügyfél nevében egy bérlőben
  • unknownFutureValue – Az MS Graph által használt sentinel érték, amellyel az ügyfelek kezelhetik az enumerálási listák változásait. További információ: Ajánlott eljárások a Microsoft Graph használatához.
  • Ha a bejelentkezés nem felelt meg a bérlő határainak, az érték az none.

• Kérelem azonosítója: Egy kibocsátott jogkivonatnak megfelelő azonosító. Ha egy adott jogkivonattal rendelkező bejelentkezéseket keres, először ki kell nyernie a kérés azonosítóját a jogkivonatból.

• Bejelentkezés: A felhasználó által a Microsoft Entra-azonosítónak megadott sztring, amely azonosítja magát a bejelentkezéskor. Ez általában egy egyszerű felhasználónév (UPN), de lehet egy másik azonosító, például egy telefonszám.

• Bejelentkezési eseménytípusok: Az esemény által képviselt bejelentkezési kategória.

  • A felhasználói bejelentkezések kategóriája lehet interactiveUser vagy nonInteractiveUser felel meg a bejelentkezési erőforrás isInteractive tulajdonságának .
  • A felügyelt identitáskategória a következő managedIdentity: .
  • A szolgáltatásnév kategória a servicePrincipal.
  • Az Azure Portal nem jeleníti meg ezt az értéket, de a bejelentkezési esemény a bejelentkezési esemény típusának megfelelő lapra kerül. A lehetséges értékek a következők:
    • interactiveUser
    • nonInteractiveUser
    • servicePrincipal
    • managedIdentity
    • unknownFutureValue
  • A Microsoft Graph API a következőket támogatja: $filter (eq csak operátor).

• Bérlő: A bejelentkezési napló két bérlőazonosítót követ nyomon:

  • Otthoni bérlő – A felhasználói identitást birtokbavevő bérlő. A Microsoft Entra ID nyomon követi az azonosítót és a nevet.
  • Erőforrás-bérlő – Az a bérlő, amely a (cél) erőforrás tulajdonosa.
  • Ezek az azonosítók bérlők közötti forgatókönyvekben relevánsak.
  • Ha például azt szeretné megtudni, hogy a bérlőn kívüli felhasználók hogyan férnek hozzá az erőforrásokhoz, jelölje ki az összes olyan bejegyzést, amelyben az otthoni bérlő nem felel meg az erőforrás-bérlőnek.

• Felhasználó típusa: Felhasználó típusa.

  • Ilyenek például a memberkövetkezők: , guestvagy external.

A bejelentkezési naplók szempontjai

A bejelentkezési naplók áttekintésekor fontos figyelembe venni az alábbi forgatókönyveket.

• IP-cím és hely: Nincs végleges kapcsolat az IP-cím és az adott címmel rendelkező számítógép fizikai helye között. A mobilszolgáltatók és a VPN-ek olyan központi készletekből adnak ki IP-címeket, amelyek gyakran távol vannak az ügyféleszköz tényleges használatától. Az IP-címek fizikai helyekre való konvertálása jelenleg a nyomkövetésen, a beállításjegyzék-adatokon, a névkeresésen és egyéb információkon alapuló legjobb lehetőség.

• Feltételes hozzáférés:

  • Nincs alkalmazva: A bejelentkezés során nem alkalmazott házirend a felhasználóra és az alkalmazásra.
  • Sikeresség: Egy vagy több feltételes hozzáférési szabályzatot alkalmaztak vagy értékeltek ki a felhasználóra és az alkalmazásra (de nem feltétlenül a többi feltételre) a bejelentkezés során. Bár előfordulhat, hogy egy feltételes hozzáférési szabályzat nem alkalmazható, ha kiértékelték, a feltételes hozzáférés állapota sikeres lesz.
  • Hiba: A bejelentkezés megfelelt legalább egy feltételes hozzáférési szabályzat felhasználó- és alkalmazásfeltételének, és az engedélyezési vezérlők vagy nem teljesülnek, vagy a hozzáférés letiltására vannak beállítva.

• Otthoni bérlő neve: Az adatvédelmi kötelezettségvállalások miatt a Microsoft Entra ID nem tölti ki az otthoni bérlő neve mezőt bérlők közötti forgatókönyvek során.

• Többtényezős hitelesítés: Amikor egy felhasználó bejelentkezik az MFA-val, valójában több különálló MFA-esemény történik. Ha például egy felhasználó helytelen érvényesítési kódot ad meg, vagy nem válaszol időben, a rendszer további MFA-eseményeket küld a bejelentkezési kísérlet legújabb állapotának megfelelően. Ezek a bejelentkezési események egy sorelemként jelennek meg a Microsoft Entra bejelentkezési naplóiban. Ugyanez a bejelentkezési esemény az Azure Monitorban azonban több sorelemként jelenik meg. Ezek az események mind azonosak correlationId.

Következő lépések

• Tudnivalók a Microsoft Entra bejelentkezési naplóinak exportálásáról
• A bejelentkezési diagnosztikának megismerése a Microsoft Entra-azonosítóban